1、 ICS 35.240 CCS L 70 DB11 北京市地方标准 DB11/T 20402022 信息安全技术 灯光秀系统网络安全防护规范 Information security technology-Security protection specification for light show system 2022-12-27 发布 2023-04-01 实施 北京市市场监督管理局 发 布 DB11/T 20402022 I 目 次 目次.I 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 灯光秀区域级别.1 5 灯光秀系统安全保护基本要求.2 6 网络安全
2、评估和整改.4 附录 A(资料性)灯光秀系统组成.6 参考文献.8 DB11/T 20402022 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由北京市公安局提出并归口。本文件由北京市公安局、北京市城市管理委员会共同组织实施。本文件起草单位:北京市公安局网络安全保卫总队、北京交通大学、中国电子技术标准化研究院、北京软件产品质量检测检验中心、利亚德光电股份有限公司、利亚德照明股份有限公司、深信服科技股份有限公司。本文件主要起草人:杜宏波、郭毅、问闻、赵大鹏、周永战、欧阳静茜、吕孝进、闫长生、陈益、刘一昆、马荣欣、王薇、王彬
3、、金镁、齐际、牟家刘、赵俊平、韩亮、郝晓航、王坤、郭剑虹、周翯、白建军、徐有荪、李仕民、刘莉、常育超。DB11/T 20402022 1 信息安全技术 灯光秀系统网络安全防护规范 1 范围 本文件规定了灯光秀区域级别、灯光秀系统安全保护基本要求及网络安全评估环节应实现的安全防护规范。本文件适用于以建(构)筑物为载体的灯光秀系统的规划、设计、建设、运行维护和监督管理,其他载体类型的灯光秀系统可参照执行。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,标注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用
4、于本文件。GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 39786 信息安全技术 信息系统密码应用基本要求 3 术语和定义 下列术语和定义适用于本文件。3.1 灯光秀 light show 一种以灯光为主体,将文字、图形、视频信息通过灯光照明或光影成像技术来表现的城市公共空间综合艺术展示活动。3.2 灯光秀系统 light show system 由相关的控制设备及配套设施(含网络)构成,能对文字、图案和视频进行加工、存储、传输、控制、展示等处理,并以灯光为主的多媒体方式进行展示的系统。4 灯光秀区
5、域级别 根据灯光秀系统载体所处区域的活动性质,分为以下三个级别:A级:国家级的重大活动区域;B级:市级的重大活动区域;C级:除A、B级以外的其他区域。DB11/T 20402022 2 5 灯光秀系统安全保护基本要求 5.1 一般要求 5.1.1 灯光秀系统组成参见附录 A。5.1.2 网络安全保护等级要求如下:灯光秀系统运营者在设计、建设灯光秀系统时应根据灯光秀设置区域的等级,开展相应的网络安全等级保护工作。具体防护要求如下:a)对于部署在A级区域的灯光秀系统,网络安全保护等级应不低于GB/T 22240中的第三级;b)对于部署在B级区域的灯光秀系统,网络安全保护等级应不低于GB/T 222
6、40中的第二级;c)对于部署在C级区域的灯光秀系统,网络安全保护等级宜参照B级区域执行。5.1.3 灯光秀系统安全防护基本要求应符合 GB/T 22239、GB/T 25070 的相关要求。5.2 安全防护 5.2.1 安全管理要求 5.2.1.1 应设置专门的网络安全管理机构,负责建立完善网络安全管理制度。5.2.1.2 应制定网络安全责任制度,设立主要负责人,明确相关安全责任人,包括内部人员、外部人员 的安全角色和安全职责。5.2.1.3 安全管理机构应设置系统管理、网络管理、安全管理等岗位。5.2.1.4 应围绕安全组织与人员、数据安全、系统和通信保护、审计、维护、系统开发与供应链安全、
7、访问控制、配置管理等方面开展安全防护活动。5.2.1.5 应制定资产管理、监测预警、安全运维相关管理制度及相应安全策略和操作规程,定期更新,并采取相应的安全技术措施。5.2.1.6 应每年定期开展安全检查,在举办重大活动前开展专项网络安全检查。5.2.2 安全技术要求 5.2.2.1 应根据承载业务的重要程度,实施分区分域管理,制定不同的安全策略,避免灯光秀系统及其资产、网络遭受未经授权的访问,防止重要数据泄露或者被窃取、篡改。5.2.2.2 应使用经运营者授权和安全评估的软硬件,并应建立计算机病毒和网络入侵防范机制。5.2.2.3 应建立网络准入控制机制,严格限制未授权的临时设备接入。5.2
8、.2.4 应采取网络安全审计措施,监测、记录系统运行、操作、故障维护等行为,并留存相关日志,对远程运维的行为要进行严格的控制和审计。相关的系统、网络设备日志留存不少于 6 个月。5.2.2.5 应对系统和数据备份,制定备份策略,规定备份频率,并定期执行数据备份。5.2.2.6 灯光秀系统网络部署情况分为局域网、运营商虚拟专用网,如果与其他外部网络有信息交换,应增加安全边界防护。具体防护要求如下:a)局域网防护要求:灯光秀系统所连接的网络环境应受控,且相对独立,与其他无关或不可控网络应保持隔离;应通过身份鉴别、IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端之间的访问控制;b)运营商虚
9、拟专用网防护要求:灯光秀系统通过运营商虚拟专用网,应采取加密通道或电子签名校验机制。运营商网络应至少满足或者高于所承载系统的网络安全保护等级,以使灯光秀系统运行在安全可靠的虚拟专用网络;c)混合组网防护要求:应通过IP/MAC地址绑定、端口限制等技术手段加强总控端及节点端之间的访问控制,通过加密通道或电子签名校验机制。灯光秀平台防护应参照GB/T 22239安全计算环DB11/T 20402022 3 境相关要求,从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范5个方面,加强灯光秀平台安全防护。5.2.2.7 节点端防护应满足如下要求:a)节点服务器安全应符合GB/T 22239安全计算
10、环境相关要求;b)数据分配器安全应在符合GB/T 22239安全计算环境相关要求基础上,满足播控系统端绑定分控ID,ID具有唯一性。c)校时服务器安全应在符合GB/T 22239安全计算环境相关要求基础上,明确主备两套校时系统;将故障信息报送总控端处理,并启动应急预案。d)节点端设备箱安全应在符合GB/T 22239安全计算环境相关要求基础上,增加防盗装置。5.2.3 安全运营要求 5.2.3.1 业务连续性要求:a)应制定并实施业务连续性计划,A级区域灯光秀系统应具备主系统主从热备份以及双路由的应急措施;b)应设置重要系统和数据处理设施冗余,满足系统可用性要求;c)在展示内容前,应将灯光秀节
11、点端与灯光秀平台的时间进行同步校对。5.2.3.2 可控维护要求:a)应采取审批和监视维护措施,包括现场维护和远程维护;b)在将灯光秀平台设备转移到非现场进行维护前,应获得安全责任人的批准,并对数据存储设备进行净化,清除数据存储设备中的信息;c)在对灯光秀平台设备、网络和系统进行维护后,应检查可能受影响的安全措施,以确认其仍正常发挥功能。5.2.3.3 维护人员要求:a)建立对维护人员的授权流程,对已获授权的人员建立列表;应明确维护人员的责任,规定维护的时限;b)授权维护人员可单独进行系统维护;未授权人员应在授权人员陪同与监管下开展维护活动。5.2.4 供应链安全要求 5.2.4.1 应建立供
12、应链安全管理制度,在采购、使用网络产品和服务时,应明确提供者的安全责任和义务。5.2.4.2 明确网络产品和服务的提供者应采取措施保护供应链相关信息,包括网络产品和服务的用途、安全需求、信息系统或组件配置等。5.2.5 安全培训要求 5.2.5.1 应建立网络安全教育培训制度,培训内容应包含灯光秀系统各组成部分的网络安全操作规范和灯光秀平台网络安全设备配置规范等。5.2.5.2 针对灯光秀系统运营人员应定期开展灯光秀系统网络安全培训,网络安全教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识、灯光秀系统网络安全操作和灯光秀平台网络安全设备配置等。5.3 灯光秀系统监测
13、 5.3.1 灯光秀系统监测应对总控端、节点端的设备运行状态进行实时监测,能够及时发现故障或攻击行为,并对攻击事件进行实时分析。DB11/T 20402022 4 5.3.2 灯光秀系统在运行期间应对其控制设备和软件实时在线状态进行监测,发生离线故障应能主动上报。5.3.3 灯光秀系统宜监测节点端实时播放画面,以便运营人员核查播放内容,发现画面异常应及时做出应急处置。5.3.4 A级区域灯光秀系统应监测设备的锁定状态,避免通过移动硬盘、U盘等外设拷入违规视频。5.4 应急保障 5.4.1 应急预案 应符合以下要求:a)应根据灯光秀不同区域级别制定灯光秀特殊网络安全事件场景制定应急处置预案,并建
14、立应急人员名单,包括联系人、联系方式;b)应将应急预案向相关人员、角色或部门进行通报;c)应定期评估修订应急预案,当本组织的管理架构、灯光秀系统运行环境发生变更时,及时更新网络安全事件应急预案;d)灯光秀系统发生变更或在实施、执行或测试中遇到问题,应及时修改应急预案并向相关人员、角色或部门及用户进行通报;e)在发生安全事件时,应确保应急处置预案的实施能够维持灯光秀系统基本业务功能,并能最终完全恢复且不减弱原来的安全措施;f)应明确专门的网络安全应急支撑队伍、专家队伍,保障网络安全事件得到及时有效处置。5.4.2 应急演练 应符合以下要求:a)应依据灯光秀系统应急预案定期和在重大活动开始之前开展
15、应急演练;b)应记录和核查应急演练结果,并根据需要修正应急预案;c)应保存演练记录、演练总结报告等。5.4.3 应急处置 5.4.3.1 事件报告应包括但不仅限于以下内容:a)应及时报告灯光秀系统运行过程中的可疑事件;b)应评估可疑事件,判断其是否属于网络安全事件;c)应建立事件报告流程,当发生影响较大的安全事件时,按规定及时将事件信息报送有关部门,内容应至少包括事件描述、处置措施、当前态势、需要的外部支持等信息;d)应收集和保存可用作证据的信息。5.4.3.2 事件处置应包括但不仅限于以下内容:a)在事件发生后应立即启动应急预案,及时处置网络攻击、网络入侵等安全风险,排查系统漏洞、计算机病毒
16、;b)协调应急响应活动与事件处理活动,必要时向主管部门、服务提供商等进行通报;c)应当前事件处理活动的经验纳入事件处理、培训及演练计划,并实施相应的变更。5.4.3.3 处置支持应包括但不仅限于以下内容:a)应提供事件处理所需的各类资源,为处理、报告安全事件提供咨询和帮助;b)应与主管部门、服务提供商等建立协作机制,以便在应对处置突发事件时予以支持协助。6 网络安全评估和整改 DB11/T 20402022 5 6.1 非临时性的灯光秀系统每年应至少进行一次网络安全评估,A 级区域应在重大活动开展前完成网络安全评估工作。6.2 评估内容包括但不限于网络安全制度执行情况、组织机构建设情况、教育培
17、训情况、安全防护情况、风险评估情况、应急演练情况,以及渗透测试、漏洞扫描、恶意代码检测、密码应用安全性评估等。6.3 应通过访谈、配置核查和工具测试开展网络安全评估。6.4 根据安全评估情况,有针对性地对灯光秀系统进行安全整改。DB11/T 20402022 6 附 录 A(资料性)灯光秀系统组成 A.1 概述 灯光秀系统由灯光秀平台和配套的设备、设施(含网络)构成,能对文字、图案和视频进行加工、存储、传输、展示等处理,并以灯光手段为主的多媒体方式按照特定的顺序进行展示的系统。主要包含总控端(控制中心)、通讯链路(网络运营商虚拟专网)及节点端(现场设备)三个部分。A.2 概述及组成 总控端是负
18、责实现灯光秀整体效果的调整、同步、控制以及数据和文件的总存贮。灯光秀平台部署于总控端,总控端发布命令,可实现对灯光秀全范围的灯光实施控制;总控端基本上是由下列设备组成:平台显示大屏、平台客户端、应用服务器、数据服务器、文件服务器、网络安全服务器、校时服务器、电源保障设备、核心交换机、核心路由器、网络防火墙。节点端是位于需要进行灯光秀联控的LED灯具安装的建(构)筑物载体内,负责实现对本地数据分配器的控制;节点服务器接受灯光秀平台控制命令,传送控制数据到数据分配器进行解码发布视频数据。节点端基本上是由下列设备组成:节点服务器、数据分配器、校时服务器、多功能路由器、交换机。网络运营商虚拟专网,运营
19、商利用已建成的网络系统提供虚拟专网服务。系统组成见图A.1。A.3 功能与关系 灯光秀系统主要分为总控端和节点端,根据业务系统具体情况确定其网络安全保护等级,并应配置相应的网络安全防护设备。总控端:通过用户管理账户与权限密码在总控平台客户端登录,对整个灯光秀平台系统进行设置、调整,通过服务器对整个系统进行联动控制,并分配角色和控制权限;通过固定IP方式接入互联网,实现总控端与各节点端的连接服务,实时检查各节点端的连接状态和工作状态。节点端:通过网络与总控端的服务器建立连接,由总控端进行整体、编组及单体等多种联动控制,并实现对各个节点端的效果文件更新、程序升级及系统状态检测等功能。完成本地节点端
20、的数据下载与发送数据到数据分配器,并通过数据分配器对控制对象进行有效的控制。主要控制对象为可调光的LED点光源、线条灯、洗墙灯、激光灯、光束灯、投影机等效果灯具,以及音响等其它多媒体设备。节点服务器内置了两个网络通信接口,一是通过移动网络路由器经过网络运营商虚拟专网连接灯光秀平台完成视频传输,数据交互及数据存储;二是通过内部传输网络向数据分配器发送指令和数据,完成画面呈现,数据交互及数据存储;数据包含如:设备在线/离线、端口状态、设备温度等信号反馈。校时服务器通过接收网络、GPS(全球定位系统)或BTS(基站收发台)信号进行节点校时服务,确保节点服务器与灯光秀平台各服务器的时间同步,实现灯光秀的整体效果同步联动。DB11/T 20402022 7 图A.1 灯光秀系统示意图 DB11/T 20402022 8 参 考 文 献 1 中华人民共和国网络安全法 2 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 3 GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求 4 GB/T 36626-2018 信息安全技术 信息系统安全运维管理指南 5 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 6 DB11/T 1274 LED广告屏应用技术规范 _
浙ICP备2021020529号-1 | 浙B2-2024(领证中) 
